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Mögliche Datenschutzprobleme im Rechtsbereich des Zweiten Buches 
Sozialgesetzbuch 

(Nachfrage zur Antwort der Bundesregierung auf die Kleine Anfrage 
auf Bundestagsdrucksache 17/13597) 


Vorbemerkung der Fragesteller 

In der Beantwortung der Kleinen Anfrage zu Datenschutzproblemen im 
Rechtsbereich des Zweiten Buches Sozialgesetzbuch wird von der Bundes- 
regierung festgestellt, dass sie Kenntnisse über Datenschutzprobleme im 
genannten Rechtsbereich „vorwiegend im Wege der Rechts- und Fachaufsicht 
des BMAS [Bundesministerium für Arbeit und Soziales] über die BA 
[Bundesagentur für Arbeit] sowie im Wege der Rechtsaufsicht über die ge- 
meinsamen Einrichtungen (gE)“ erhält. „Darüber hinaus liegen dem BMAS im 
Rahmen seiner Zuständigkeit für die Ahndung und Verfolgung von daten- 
schutzrechtlichen Ordnungswidrigkeiten Informationen über einzelne daten- 
schutzrechtliche Verstöße in gE vor“. Im Weiteren verfügt die Bundesregierung 
über den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit 
(BfDI) über Erkenntnisse zu Datenschutzproblemen im genannten Rechts- 
bereich. In der Antwort wurde die aufgeführten Datenschutzprobleme nicht 
konkret benannt, auch keine Lösungswege dieser Probleme aufgeführt und 
viele Fragen nicht beantwortet, z. B. die Fragen nach dem Zugriff unberechtig- 
ter Dritter auf Daten von Leistungsbeziehenden. 


Vorbemerkung der Bundesregierung 

Jede gemeinsame Einrichtung (gE) ist gemäß § 50 Absatz 2 Zweites Buch 
Sozialgesetzbuch (SGB II) selbst verantwortliche Stelle für die Erhebung, Ver- 
arbeitung und Nutzung von Sozialdaten. Sie ist deshalb gesetzlich verpflichtet, 
einen behördlichen Datenschutzbeauftragten (bDSB) zu bestellen, der vor Ort 
kontrolliert und berät. 


Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums für Arbeit und Soziales vom 2. Juli 
2013 übermittelt. 

Die Drucksache enthält zusätzlich - in kleinerer Schrifttype - den Fragetext. 
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Insoweit ist ein Eingreifen des Bundesministeriums für Arbeit und Soziales nur 
bei konkreten Rechtsverstößen durch Ahndung und Verfolgung von Ordnungs- 
widrigkeiten bzw. im Rahmen der Rechtsaufsicht im Einzelfall möglich. Zen- 
trale Erhebungen oder flächendeckende Prüfungen in gE gibt es nicht. 

Die Antworten der Bundesregierung basieren aus diesem Grund auf der stich- 
probenartigen Prüfung durch die Interne Revision der Bundesagentur für Arbeit 
(BA), eigenen Erkenntnissen des Bundesministeriums für Arbeit und Soziales 
im Rahmen der Rechtsaufsicht über die gE sowie den stichprobenartigen Kon- 
trollen des Bundesbeauftragten für den Datenschutz und die Informationsfrei- 
heit (BfDl). 

Die Bundesregierung hat den BfDI gebeten, Informationen zur Beantwortung 
der Kleinen Anfrage zur Verfügung zu stellen. Soweit Informationen aufge- 
nommen wurden, sind diese gesondert kenntlich gemacht. 


1 . Welche konkreten Datenschutzprobleme bzw. -Verletzungen verbergen sich 

hinter den in der Antwort der Bundesregierung auf die Kleine Anfrage auf 

Bundestagsdrucksache 17/13597 zu Frage 4 stichpunktartig und ohne Er- 
läuterung aufgeführten zwölf Aufgabenbereichen 

— Eintragungen im Fachverfahren „VerBIS“ - Freitextfelder -, 

- Vorlage und Speicherung von Kontoauszügen, 

- Datenübermittlung an einen Maßnahmeträger, 

— Veröffentlichung von Telefonnummer und/oder E-Mail-Adresse in der 
„JOBBÖRSE“ der BA, 

- Hausbesuche durch den Ermittlungsdienst der Jobcenter, 

— Umgang mit Gesundheitsdaten gemäß § 67 Absatz 12 des Zehnten 
Buches Sozialgesetzbuch (SGB X), 

- Beratung in Doppelbüros (gleichzeitig mit anderen Kunden), 

— Weiterleitung von Stellungnahmen der Arbeitnehmer an ehemalige Ar- 
beitgeber, 

— Umsetzung der Erhebung des Migrationshintergrundes, 

— Vorlage von Nachweisen zu den Kosten für Unterkunft und Heizung 
und deren Speicherung und Nutzung, 

- Speicherung der Kopie des Personalausweises, 

— Anfragen zu den Betroffenenrechten: Akteneinsicht (§ 25 Absatz 1 
SGB X), Auskunft (§ 83 SGB X), Berichtigung, Löschung und Sper- 
rung von Daten (§84 SGB X) in Papierakten oder in elektronischer 
Form (bitte für jeden der genannten zwölf Aufgabenbereiche die kon- 
kreten und typischen Datenschutzprobleme bzw. -Verletzungen erläu- 
tern)? 

Zur Erläuterung der konkreten Schwerpunkte, die bereits in der Antwort der 
Bundesregierung auf Bundestagsdrucksache 17/13597 stichpunktartig benannt 
worden sind, wird auf den 24. Tätigkeitsbericht des BfDl für die Jahre 2011 und 
2012 auf Bundestagsdrucksache 17/13000, S. 156 ff. und 179, verwiesen. 
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2. Welche konkreten Maßnahmen hat die Bundesregierung eingeleitet, um in 
Zukunft die genannten konkreten Datenschutzprobleme bzw. -Verletzungen 
zu verhindern (bitte für jedes der in den zwölf Aufgabenbereichen ge- 
nannte konkrete und typische Datenschutzproblem bzw. für jede Daten- 
schutzverletzung erläutern)? 

Im Bereich des Sozialdatenschutzes in den gE hat das Bundesministerium für 
Arbeit und Soziales lediglich Rechtsaufsicht. Wie in der Vergangenheit wird 
das Bundesministerium für Arbeit und Soziales auch in Zukunft Verstöße im 
Rahmen dieser Aufsicht sowie durch Ahndung und Verfolgung von Ordnungs- 
widrigkeiten bekämpfen, soweit dies geboten ist. 


3. Erleiden die Betroffenen durch die Mängel bei den Einträgen in den Be- 
werberdatensätzen (Antwort zu Frage 4) einen direkten Schaden, wie zum 
Beispiel keine Vermittlung oder Druck durch die Bearbeiterinnen/Bearbei- 
ter auf den Leistungsbeziehenden, und gibt es in diesem Fall eine Kompen- 
sation für die Geschädigten? 

Konkrete Schadensfälle sind der Bundesregierang nicht bekannt. 


4. Warum existiert keine Statistik über die am häufigsten genannten Daten- 
schutzverstöße in den gemeinsamen Einrichtungen (Jobcenter) und über 
die gemeinsamen Einrichtungen mit den häufigsten Datenschutzverstößen 
bzw. datenschutzrechtlichen Beschwerden (Antwort zu den Fragen 5 und 
10 bis 12)? 

Gesetzliche Vorgaben zur Erhebung der für eine solche Statistik erforderlichen 
Daten sowie für eine solche Statistik selbst bestehen nicht. Auf die Antwort der 
Bundesregierung zu den Fragen 6 und 7 wird verwiesen. 


5. Ist der Bundesregierung bekannt, dass Beschwerden über Datenschutz- 
verstöße von Leistungsbeziehenden nach Informationen der Fragesteller 
direkt an die Teamleitung weitergeleitet werden und betreffende Mitarbei- 
terinnen/Mitarbeiter sich i. d. R. schriftlich dazu äußern und ein Vermerk in 
„VerBIS“ darüber machen müssen, sich die Teamleitung ebenfalls schrift- 
lich äußert und dieses an das Kundenreaktionsmanagement (Beschwerde- 
stelle) weiterleitet, damit sie sich dem Fall annehmen kann, somit eine sta- 
tistische Erfassung über Anzahl und Gegenstand der Beschwerde im 
Kundenreaktionsmanagement möglich ist? 

Datenschutzangelegenheiten sollten grundsätzlich von den bDSB der gE nach 
den gesetzlichen Bestimmungen bearbeitet werden. Das Kundenreaktions- 
management ist hierfür aus Sicht der Bundesregierung nicht die geeignete 
Stelle. Aus den datenschutzrechtlichen Bestimmungen ergibt sich auch die Ver- 
schwiegenheitspflicht des bDSB im Umgang mit dem Betroffenen. 


6. Wie kann, vor dem Hintergrund, dass keine statistischen Erkenntnisse über 
Datenschutzverletzungen und -beschwerden vorliegen, die Verantwortung 
der Bundesagentur für Arbeit und der Bundesregierung bezüglich der Ver- 
hinderung von Datenschutzverletzungen in den gemeinsamen Einrichtun- 
gen zielgerichtet, also auch einrichtungsbezogen, wahrgenommen werden? 

Datenschutzrechtliche Mängel können schwerpunktmäßig durch stichproben- 
artige Kontrollen und Prüfungen festgestellt werden. Eine amtliche Statistik ist 
hierfür nicht erforderlich. Zudem werden dem Bundesministerium für Arbeit 
und Soziales Rechtsverstöße auch durch Eingaben von Betroffenen angezeigt. 
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Das Bundesministerium für Arbeit und Soziales kann bei Rechtsverstößen im 
Rahmen der Rechtsaufsicht über die gE auf die Einhaltung der Vorschriften 
zum Sozialdatenschutz in der gE hinwirken. Es ist auch zuständig für die Ahn- 
dung und Verfolgung der datenschutzrechtlichen Ordnungswidrigkeiten in gE. 
Darüber hinaus kann die BA ihre Trägerverantwortung in der Trägerversamm- 
lung der konkreten gE einbringen. Auf die Vorbemerkung der Bundesregierung 
sowie die Antwort der Bundesregierung zu Frage 2 wird verwiesen. 


7. Gedenkt die Bundesregierung eine öffentliche Statistik über die Daten- 
schutzverstöße und Datenschutzbeschwerden in den gemeinsamen Ein- 
richtungen bei der Bundesagentur für Arbeit anzumahnen, und wenn nein, 
wamm nicht? 

Die Bundesregierung plant nicht, eine öffentliche (amtliche) Statistik über die 
Datenschutzverstöße und Datenschutzbeschwerden anzustoßen. Aufgrund der 
Eigenverantwortung der gE in diesem Bereich sind die Informationen über 
ermittelte oder angezeigte Verstöße gegen datenschutzrechtliche Vorgaben im 
Wege der Rechtsaufsicht des Bundesministeriums für Arbeit und Soziales über 
die gE, der Ahndung und Verfolgung von datenschutzrechtlichen Ordnungs- 
widrigkeiten in gE durch das Bundesministerium für Arbeit und Soziales sowie 
durch Information der Internen Revision der BA und des BfDl ausreichend. Be- 
züglich dazu vorliegender Erkenntnisse wird auf die Antwort der Bundesregie- 
rung auf Bundestagsdrucksache 17/13597 verwiesen. 


8. Verfügen alle gemeinsamen Einrichtungen über einen Datenschutzbe- 
auftragten? 

Wenn nein, warum nicht? 

Wenn ja, warum wird durch diese Stelle keine Statistik geführt, die öffent- 
lich ist? 

Nach Information des BfDI haben bereits im Jahr 2011 alle gE die Bestellung 
eines bDSB angezeigt. Im Übrigen wird auf die Vorbemerkung der Bundesre- 
gierung und die Antwort der Bundesregierung zu Frage 4 verwiesen. 


9. Verfügen alle gemeinsamen Einrichtungen über einen Datenschutz- 
ombudsmann bzw. eine Datenschutzombudsfrau? 

Wenn nein, warum nicht? 

Wenn ja, warum wird durch diese Stelle keine Statistik geführt, die öffent- 
lich ist? 

Eine solche Funktion ist gesetzlich nicht vorgesehen. Die Bundesregierung hat 
keine Kenntnis über Datenschutz-Ombudsfrauen oder -männer in gE. 


10. Wie laufen die in der Antwort zu Frage 4 erwähnten stichprobenartigen 
Datenschutzkontrollen durch die BA und den BfDI ab, und aus welchen 
Gründen konkret werden sie in der konkreten gemeinsamen Einrichtung 
veranlasst? 

Jede Prüfung der Internen Revision der BA wird anhand einer systematischen 
Bewertung der sogenannten „Risikoobjekte“, die insgesamt das Aufgaben- 
spektrum der BA abbilden, geplant. Zu den Risikoobjekten zählt auch der 
Datenschutz. 
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Im Ergebnis einer solchen Bewertung im Jahr 2011 wurde die Revision zum 
Datenschutz im Rechtskreis SGB 11 erstmals zu Beginn des Jahres 2012 bun- 
desweit in sechs gE durchgeführt. Gemessen an der Zahl der Bedarfsgemein- 
schaften wurden dazu zwei „große“ gE, zwei gE „mittlerer Größe“ und zwei 
„kleine“ gE aus unterschiedlichen Bezirken der vorhandenen Regionaldirek- 
tionen zufallsorientiert ausgewählt. 

Die Interne Revision der BA hat in diesen sechs gE geprüft, ob die gE die 
gesetzlichen und ggf. vorhandenen eigenen Festlegungen zum Sozialdaten- 
schutz einhalten und die verbindlichen Regelungen zum Datenschutz im Fach- 
verfahren „VerBlS“ beachten. Zudem wurde geprüft, ob in den gE zum Thema 
„Datenschutz“ ein internes Kontrollsystem implementiert wurde und inwieweit 
Maßnahmen der Fachaufsicht durch die Führungskräfte in der gE und organisa- 
torische Maßnahmen die Einhaltung der datenschutzrechtlichen Bestimmungen 
sicherstellen. 

Der BfDI hat nach eigenen Angaben bis zum Stichtag 31. März 2013 bundes- 
weit 21 Beratungs- und Kontrollbesuche in den gE durchgeführt. Bei der Aus- 
wahl der Kontrollziele habe der BfDI darauf geachtet, in allen Bundesländern 
Präsenz zu zeigen. Mit Ablauf des Jahres 2013 werde der BfDI in jedem Bun- 
desland mindestens eine Kontrolle vorgenommen haben. 

Anlassunabhängige Beratungs- und Kontrollbesuche werden nach Information 
des BfDI gegenüber den Geschäftsführungen der betroffenen gE mit angemes- 
sener Frist vor der Durchführung angekündigt. Davon unberührt bleibe die 
Möglichkeit des BfDI, auch ohne Ankündigung anlassbezogene Kontrollen 
vorzunehmen. Nach Durchführung des Beratungs- und Kontrollbesuchs erhalte 
die Geschäftsführung der gE einen Abschlussbericht, in dem auf datenschutz- 
rechtliche Mängel und Verbesserungsmöglichkeiten hingewiesen werde. Das 
Bundesministerium für Arbeit und Soziales sowie die BA erhalten eine Ausfer- 
tigung des Berichts. 

Gegenstand der bisherigen Beratungsbesuche des BfDI seien Themen wie die 
Aufgabenwahmehmung der bDSB und deren Unterstützung durch die Ge- 
schäftsführung der gE, die datenschutzkonforme Gestaltung der Kunden- 
bereiche und datenschutzgerechte Vertragsgestaltung mit Dritten sowie spezi- 
fische Prüfgegenstände (vgl. 24. Tätigkeitsbericht des BfDI auf Bundestags- 
drucksache 17/13000, Seite 156 ff. und 179) gewesen. 


11. Ist der Bundesregierang bekannt, dass nach Informationen der Fragestel- 
ler die Akten der Leistungsbeziehenden, die sich in sog. Hängeschränken 
befinden, während der Arbeitszeit offen sind, so dass die „Kunden“ die 
Namen anderer Leistungsbeziehender erkennen können? 

12. Ist der Bundesregierung bekannt, dass nach Informationen der Fragestel- 
ler Akten von Leistungsbeziehenden auf einen Rollwagen offen durch die 
Gänge der Einrichtungen transportiert werden und dass dabei der Zugriff 
Unbefugter auf die Akten möglich ist? 

Der Bundesregierung liegen hierzu keine repräsentativen Erkenntnisse vor. Im 
Übrigen wird auf das Empfehlungspaket der BA zum Aufbau und Führen einer 
Leistungsakte (Stand: März 2013) verwiesen. Danach sollte auf der Aktenrück- 
seite neben der Bedarfsgemeinschaftsnummer nicht der Name des Leistungsbe- 
rechtigten vermerkt werden. 
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13. Ist der Bundesregierung bekannt, dass nach Informationen der Fragestel- 
ler die Mitarbeiterinnen/Mitarbeiter der gemeinsamen Einrichtung Gene- 
ralschlüssel für alle Räume dieser Einrichtungen haben und dabei auch 
über unverschlossene Aktenschränke unbefugten Zugriff auf Akten von 
Leistungsbeziehenden haben? 

Auch innerhalb der gE ist nach den gesetzlichen Bestimmungen sicherzustellen, 
dass die Sozialdaten nur befugten Personen zugänglich sind oder nur an diese 
weitergegeben werden. Ein Generalschlüssel für jeden Mitarbeiter der gE 
würde diese Voraussetzung nicht erfüllen. Der Bundesregierung liegen hierzu 
keine repräsentativen Erkenntnisse vor. 


14. Ist der Bundesregierung bekannt, dass nach Informationen der Fragestel- 
ler auch nicht mit dem Einzelfall betraute Mitarbeiterinnen/Mitarbeiter in 
den gemeinsamen Einrichtungen Zugang auf deren ärztliche Unterlagen 
im elektronischen System haben? 

Für den Zugang zu den elektronischen Systemen der BA gelten Berechtigungs- 
konzepte. Danach ist den Vermittlungsfachkräften mit entsprechender Zugriffs- 
berechtigung lediglich der Teil des medizinischen Gutachtens zugängig ge- 
macht, der für die Vermittlungskraft unmittelbar relevant ist. Zugriffsberechti- 
gungen haben die Vermittlungsfachkraft, der die jeweilige Betreuung zugeord- 
net ist, und ihre Vertretung. Der Zugriff wird systemseitig protokolliert. 

Die Einhaltung der Berechtigungskonzepte ist in der gE vor Ort nachzuhalten. 
Ein Missbrauch der Berechtigungen wäre als Verstoß gegen die datenschutz- 
rechtlichen Bestimmungen zu verfolgen. Der Bundesregierung liegen hierzu 
keine repräsentativen Erkenntnisse vor. 
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